Como o setor bancário do Paquistão continuou a evoluir e se desenvolver, os órgãos reguladores do governo fizeram sua parte para sustentar o impulso do setor, emitindo novas diretrizes em resposta aos riscos e ameaças crescentes. A mais recente delas, conhecida como Política de Segurança Cibernética de 2021, exige que os bancos modernizem os sistemas e procedimentos que possuem para detectar, responder e, em última instância, impedir ciberataques em todas as suas formas - desde malware, phishing e spoofing até a "extração" de dados de cartões de caixa eletrônico.
Para o governo do Paquistão, a intenção dessas novas regras de segurança cibernética era atualizar os bancos do país (que até então estavam focados principalmente no crescimento e na lucratividade) em uma área amplamente negligenciada. Entre outras medidas, a nova política exigia que os bancos mantivessem recursos básicos de segurança, incluindo centros de operações de segurança (SoCs) e ferramentas de resposta automatizada que funcionam 24/7.
No início de 2019, quando a política ainda estava sendo elaborada, o Askari Bank, como a grande maioria dos bancos no Paquistão, tinha apenas os recursos de segurança mais rudimentares em vigor, governança de segurança limitada e nenhuma equipe de segurança dedicada. Preencher essa lacuna foi o principal mandato de Jawad Khalid Mirza, que se juntou ao banco em março como Diretor de segurança da informação (CISO). Desde o início, explica, o forte apoio do conselho proporcionou um clima favorável para a transformação que ele imaginava. "Nosso conselho estava ciente de como os bancos em todo o mundo estavam investindo em segurança", diz ele. "Eles reconheceram que, sem os recursos certos de segurança cibernética, bem como os profissionais certos, não podemos avançar."
<20 incidentes de segurança
Diminuição do número de incidentes de segurança de aproximadamente 700 por dia para menos de 20, reduzindo drasticamente o número de falsos positivos
5 minutos
Redução do tempo necessáriopara corrigir, de uma média de 30 minutos para uma média de 5 minutos, por meio da implementação de respostas automatizadas
Talvez o desafio central enfrentado por Jawad Khalid Mirza foi a necessidade de construir e formar um SOC do zero. Para chegar lá, ele precisaria escolher a solução de software de segurança mais eficiente e econômica para atender às necessidades técnicas, incluindo a integração da solução com os principais sistemas bancários do Askari Bank. Além disso, ele precisava colocar em prática a equipe para estabelecer e gerenciar as operações técnicas diárias do SOC, incluindo a detecção e o tratamento de incidentes de segurança. A tarefa exigia experiência em SOC, e ele a encontrou em Umair Shakil.
Poucos dias depois de ingressar no Askari Bank como chefe da equipe do SOC, Umair Shakil debateu profundamente com Jawad Khalid Mirza sobre a importante decisão da plataforma. Em sua função anterior (executando operações de segurança para uma das maiores provedoras de telecomunicações do Paquistão), Umair Shakil implantou a solução IBM Security® QRadar® com grande efeito. Foi como resultado direto de sua experiência positiva que a IBM Security entrou na lista pequena, junto com as soluções de segurança da Microsoft e da Splunk.
Com base em provas de conceito enviadas por cada fornecedor, Umair Shakil e Jawad Khalid Mirza realizaram rigorosos exercícios comparativos com base em três dimensões principais: desempenho do sistema, interoperabilidade e facilidade de uso. Além desses fatores, explica Jawad Khalid Mirza, a escolha da plataforma QRadar reflete sua confiança no roteiro estabelecido pela IBM. "Nós nos vemos realmente alinhados com a direção que a IBM está seguindo com a plataforma QRadar", diz ele. "Para nós, reflete o compromisso da IBM em tornar uma ótima solução de segurança ainda melhor."
Ao analisar os atributos que favoreceram a solução QRadar em relação aos da Microsoft e da Splunk, Umair Shakil destaca a facilidade de integração como um de seus pontos fortes específicos. “Uma das melhores coisas sobre o QRadar é que ele oferece várias formas de integração com nossos principais sistemas bancários, em vez de apenas um único método”, diz ele. “Como esperávamos, isso provou ser uma enorme vantagem durante a implementação.”
Para fornecer a solução, o Askari Bank interagiu com a IBM Business Partner Software Productivity Strategists, Inc. (SPS), que trabalhou em estreita colaboração com Umair Shakil e sua crescente equipe do SOC. Para detecção de ameaças, o principal componente da solução é o IBM Security QRadar SIEM, seu produto de gerenciamento de eventos e informações de segurança que permite ao banco agregar logs de várias fontes em um único repositório. Isso, por sua vez, permite que a equipe do SOC realize correlações e escalada de diferentes logs para identificar e priorizar incidentes de segurança rapidamente.
Quando se trata de responder a incidentes de segurança, a regra geral do banco era automatizar sempre que possível. Sua abordagem básica era empregar os recursos do playbook com o IBM Security QRadar SOAR, sua solução de orquestração, automação e resposta de segurança. Na fase inicial de implementação, a SPS propôs uma série de casos de uso extraídos de sua experiência na implementação de cenários de resposta automática para outros clientes. Esses casos de uso foram, então, traduzidos em playbooks específicos que definiram a sequência de como cada incidente seria escalado para níveis de resposta maiores ou, se necessário, acionaria a intervenção de um membro da equipe de resposta do SOC.
Tendo trabalhado com a SPS para implantar 10 manuais, a equipe do Askari Bank (com alguma orientação da SPS) está continuamente desenvolvendo mais, com o objetivo final de ter cerca de 35 playbooks automatizados em funcionamento. Para Nayab Akbar, Vice-presidente assistente da SPS para segurança corporativa e um dos principais participantes do engajamento, o progresso do banco é um sinal claro de que a equipe do SOC está obtendo bons resultados. "Hoje, a equipe do Askari está discutindo os próprios casos de uso de segurança e sabe como traduzi-los em playbooks", diz Akbar. "É exatamente aí que você quer que seus clientes estejam: gastando tempo e esforços para criar casos de uso para automatizar."
Embora impedir que ameaças se tornem violações de segurança seja a medida final de sucesso para um SOC, a eficiência com que ele faz isso também é fundamental em um nível operacional. E é aí que os esforços de automação do Askari Bank realmente funcionaram. Por meio da capacidade do QRadar SIEM de eliminar falsos positivos, o SOC do banco reduziu o número de incidentes de segurança de aproximadamente 700 por dia para menos de 20. Além disso, os playbooks do QRadar SOAR implementados no SOC permitem que o pessoal resolva esses incidentes em uma média de cinco minutos, em comparação com até 30 minutos antes da transformação de segurança do banco.
Como Umair Shakil aponta, todas essas melhorias de eficiência orientadas pela automação significam que o pessoal do SOC pode filtrar os incidentes de baixa prioridade e falsos positivos que podem inundar um SOC e, em vez disso, se concentrar em abordar riscos verdadeiros e caçar vulnerabilidades. "Para que um SOC seja eficaz, a capacidade de priorizar nossa resposta aos riscos de segurança mais urgentes é quase tão importante quanto a detecção", diz Umair Shakil. "Nesse aspecto, a solução QRadar que implementamos tornou nossa equipe muito mais eficaz em lidar com o cenário de ameaças."
É importante ressaltar que isso significa ameaças que vêm tanto de fora quanto de dentro do banco. E isso chega a um dos principais problemas de segurança enfrentados não apenas pelos bancos, mas por qualquer organização: gerenciar as ameaças de segurança representadas por "agentes internos". Em muitos casos, os sinais bem contados de ameaças internas são tentativas de login grosseiras e comportamento atípico ou anômalo na rede, como quando um funcionário tenta acessar um aplicativo ou banco de dados. Para detectar esses riscos, o Askari Bank usa o aplicativo User Behavior Analytics (UBA). Ao combinar regras comportamentais e funções analíticas com dados de registro e atividade já armazenados no QRadar, o aplicativo UBA permitiu que a equipe do SOC do banco simplificasse o monitoramento, a detecção e a investigação, melhorando assim a eficiência do gerenciamento de ameaças internas. Além disso, como o UBA usa algoritmos analíticos para detectar desvios nas atividades do usuário, em vez de regras rigorosas, o Askari Bank conseguiu usá-lo para reduzir a frequência de incidentes falso-positivos.
Embora não exista um indicador único de quão longe o Askari Bank chegou no aprimoramento de sua postura de segurança desde que trabalhou com a SPS para implementar sua nova solução QRadar, há muitos casos de sucesso. Por exemplo, um SOC que nem sequer existia há três anos agora tem uma equipe de mais de 20 especialistas. E há outra coisa que o banco tem que não tinha antes: visibilidade das ameaças. Em virtude dos recursos de correlação do QRadar SIEM e de sua capacidade de fornecer alertas de alta fidelidade, o Askari Bank agora pode ter uma visão precisa do número de delitos que está enfrentando 24x7.
Além dessa visibilidade de ameaças amplamente aprimorada, aponta Jawad Khalid Mirza, as respostas automatizadas habilitadas pelo QRadar SOAR significam que o pessoal do SOC está trabalhando de forma mais eficiente e proativa para manter as ameaças cibernéticas de hoje (e as emergentes de amanhã) à distância. "O fato de que agora somos capazes de cumprir os regulamentos de segurança cibernética do Paquistão é crítico, mas apenas o começo", explica. "Com o QRadar, agora temos a eficiência e a flexibilidade para nos adaptarmos a um cenário de ameaças cibernéticas que está em constante mudança, não importa o quão rápido cresçamos."
Com sede em Rawalpindi, Paquistão, o Askari Bank (link externo à ibm.com) é um banco comercial e de varejo com 560 agências em todo o Paquistão e uma agência bancária de atacado no Bahrein. Fundado em 1991, o Askari Bank é uma unidade do Fauji Group, com receitas de US$ 4,2 bilhões em 2021 e aproximadamente 7.500 funcionários.
Sediada em Rockville, MD, EUA, com escritórios em Islamabad, Paquistão, a IBM Business Partner SPS (link externo à ibm.com) cria soluções do setor aproveitando a IA e a nuvem. Como inovadora e criadora de soluções de categoria corporativa, com experiência em todas as fases de design, desenvolvimento, implementação, segurança, operações, monitoramento e suporte de produtos, a SPS ajuda seus clientes a criar, implementar e proteger aplicativos. Suas equipes de desenvolvimento, qualidade, segurança cibernética, treinamento, operações, monitoramento e suporte trabalham em conjunto para criar sistemas de alto desempenho, seguros, confiáveis, escaláveis e gerenciáveis.
Legal
© Copyright IBM Corporation 2023. IBM corporation, New orchard road, Armonk, NY 10504
Produzido nos Estados Unidos da América. Março de 2023.
IBM, o logotipo IBM, IBM Security e QRadar são marcas comerciais ou marcas registradas da International Business Machines Corporation nos Estados Unidos e/ou em outros países. Outros nomes de produtos e serviços podem ser marcas comerciais da IBM ou de outras empresas. Uma lista atual de marcas registradas da IBM está disponível em ibm.com/trademark.
Microsoft, Windows, Windows NT e o logotipo Windows são marcas comerciais da Microsoft Corporation nos Estados Unidos, em outros países ou em ambos.
Este documento é atual na data de sua publicação inicial, podendo ser alterado pela IBM a qualquer momento. Nem todas as ofertas estão disponíveis em todos os países em que a IBM opera.
Todos os exemplos de clientes citados ou descritos são apresentados como ilustração da maneira como alguns clientes usam produtos IBM e dos resultados que eles alcançam. Os custos e características de desempenho ambientais reais irão variar, dependendo das configurações e condições específicas dos clientes. Geralmente os resultados esperados não podem ser fornecidos, pois os resultados de cada cliente dependerão inteiramente dos sistemas e serviços adquiridos. AS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO SÃO APRESENTADAS TAIS COMO ESTÃO, SEM QUALQUER GARANTIA, EXPRESSA OU IMPLÍCITA, INCLUSIVE SEM QUAISQUER GARANTIAS DE COMERCIALIZAÇÃO, ADEQUAÇÃO A DETERMINADO FIM E QUALQUER GARANTIA OU CONDIÇÃO DE NÃO INFRAÇÃO. Os produtos IBM têm garantia de acordo com os termos e condições dos contratos sob os quais são fornecidos.
Declaração de boas práticas de segurança: nenhum sistema ou produto de TI deve ser considerado completamente seguro, e nenhuma medida exclusiva de produto, serviço ou segurança pode ser completamente eficaz na prevenção de uso ou acesso inadequado. A IBM não garante que nenhum de seus sistemas, produtos ou serviços estejam imunes nem que tornarão sua empresa imune a condutas maliciosas ou ilegais por parte de terceiros.
O cliente é responsável por garantir o cumprimento de todas as lei e regulamentações aplicáveis. A IBM não fornece conselho jurídico tampouco representa ou garante que seus serviços ou produtos garantirão que o cliente esteja em conformidade com qualquer lei ou regulamentação.